Pontos de aplicativo de filtro de firewall stateless
Depois de definir o filtro de firewall, você deve aplicá-lo a um ponto de aplicativo. Esses pontos de aplicativo incluem interfaces lógicas, interfaces físicas, interfaces de roteamento e instâncias de roteamento.
Na maioria dos casos, você pode aplicar um filtro de firewall como um filtro de entrada ou um filtro de saída , ou ambos ao mesmo tempo. Os filtros de entrada tomam medidas sobre os pacotes que estão sendo recebidos na interface especificada, enquanto os filtros de saída tomam medidas em pacotes que são transmitidos pela interface especificada.
Normalmente, você aplica um filtro com vários termos em uma única interface lógica, para tráfego de entrada, tráfego de saída ou ambos. No entanto, há momentos em que você pode querer acorrentar vários filtros de firewall (com termos únicos ou múltiplos) e aplicá-los a uma interface. Você usa uma lista de entrada para aplicar vários filtros de firewall ao tráfego de entrada em uma interface. Você usa uma lista de saída para aplicar vários filtros de firewall ao tráfego de saída em uma interface. Você pode incluir até 16 filtros em uma lista de entrada ou uma lista de saída.
Não há limite para o número de filtros e contadores que você pode definir, mas existem algumas considerações práticas. Mais contadores exigem mais termos, e um grande número de termos pode levar muito tempo para ser processado durante uma operação de compromisso. No entanto, filtros com mais de 4000 termos e contadores foram implementados com sucesso.
Tabela 1 descreve cada ponto ao qual você pode aplicar um filtro de firewall. Para cada ponto de aplicativo, a tabela descreve os tipos de filtros de firewall suportados naquele ponto, o nível de hierarquia do roteador (ou switch) no qual o filtro pode ser aplicado e quaisquer limitações específicas da plataforma.
Tipo de filtro |
Ponto de aplicativo |
Restrições |
---|---|---|
Filtro de firewall stateless Configure incluindo a declaração do filter filter-name; Nota:
Se você não incluir a |
Interface lógica Aplique no nível de filter { input filter-name; output filter-name; } Nota:
Um filtro configurado com a família de protocolo implícito Nota:
No T4000 Tipo 5 FPCs, um filtro anexado no ponto de aplicação de Camada 2 (ou seja, no nível de interface lógica) é incapaz de combinar com a classe de encaminhamento de um pacote que é definido por um classificador de Camada 3, como DSCP, DSCP V6 |
Com suporte para os seguintes roteadores:
Também é compatível com os seguintes Concentradores modulares de portas (MPCs) em roteadores da Série MX:
|
Filtro de firewall stateless Configure no nível de filter filter-name; Pode
|
Família de protocolo em uma interface lógica Aplique-se no nível de filter { input filter-name; input-list [ filter-names ]; output filter-name; output-list [ filter-names ]; } |
A família |
Filtro de firewall stateless |
Interface de loopback do Mecanismo de Roteamento |
|
Filtro de serviço Configure no nível de service-filter service-filter-name; |
Família Aplique no nível de service { input { service-set service-set-name service-filter filter-name; } output { service-set service-set-name service-filter filter-name; } } Configure um conjunto de serviços no nível de
|
Suporte apenas para PICs de serviços adaptativos (AS) e multisserviços (MS). |
Filtro de pós-serviço Configure no nível de service-filter service-filter-name; |
Família Aplique no nível de service { input { post-service-filter filter-name; } } |
Um filtro pós-serviço é aplicado ao retorno do tráfego à interface de serviços após o processamento do serviço. O filtro só é aplicado se um conjunto de serviços estiver configurado e selecionado. |
Filtro simples Configure no nível de simple-filter filter-name |
Família Aplique no nível de simple-filter simple-filter-name; |
Filtros simples só podem ser aplicados como filtros de entrada. Somente nas seguintes plataformas:
|
Filtro de verificação de encaminhamento reverso de pacotes (RPF) Configurado no nível de filter filter-name; |
Família Aplique no nível de rpf-check fail-filter filter-name para aplicar o filtro de firewall sem estado como um filtro de verificação de RPF. rpf-check { fail-filter filter-name; mode loose; } |
Suportado apenas em roteadores da Série MX e switches da Série EX. |